Uma nova campanha de malvertising foi observada distribuindo uma versão atualizada de um malware stealer de macOS chamado Atomic Stealer (ou AMOS), indicando que está sendo ativamente mantido por seu autor.
Um malware Golang disponível por $1.000 por mês, Atomic Stealer veio à luz em abril de 2023. Pouco depois, novas variantes com um conjunto expandido de recursos de coleta de informações foram detectadas à solta, alvejando gamers e usuários de criptomoedas.
Malvertising via Google Ads foi observada como o principal vetor de distribuição em que usuários que buscam software popular, legítimo ou crackeado, em motores de busca são mostrados anúncios falsos que direcionam para sites que hospedam instaladores falsos.
A última campanha envolve o uso de um site fraudulento para o TradingView, apresentando três botões para baixar o software para Windows, macOS e sistemas operacionais Linux.
"Os botões do Windows e Linux apontam para um instalador MSIX hospedado no Discord que libera o NetSupport RAT," disse Jérôme Segura, diretor de inteligência cibernética na Malwarebytes.
O macOS payload ("TradingView.dmg") é uma nova versão do Atomic Stealer lançada no final de junho, que está agrupada em um aplicativo assinado ad hoc que, uma vez executado, solicita aos usuários que insiram sua senha em um falso prompt e colete arquivos, bem como dados armazenados no iCloud Keychain e nos navegadores da web.
O Atomic Stealer também ataca os navegadores Chrome e Firefox e tem uma extensa lista de extensões de navegador relacionadas a cripto para atacar, observou anteriormente a SentinelOne, em maio de 2023.
Alguns variantes também miraram as carteiras da Coinomi.
O objetivo final do invasor é contornar as proteções do Gatekeeper no macOS e exfiltrar as informações roubadas para um servidor sob seu controle.
MacOS está se tornando cada vez mais um alvo viável de ataques de malware, com um número crescente de ladrões de informações específicos para macOS aparecendo para venda em fóruns crimeware nos últimos meses para aproveitar a ampla disponibilidade de sistemas Apple em organizações.
"Embora malwares de Mac realmente existam, eles tendem a ser menos detectados do que seus equivalentes do Windows", disse Segura.
"O desenvolvedor ou vendedor do AMOS realmente fez um ponto de venda que seu kit de ferramentas é capaz de evadir a detecção".
Atomic Stealer não é o único malware propagado por malvertising e campanhas de envenenamento de otimização de mecanismo de busca (SEO), pois surgiram evidências do DarkGate (também conhecido como MehCrypter) utilizando o mesmo mecanismo de entrega.
Novas versões do DarkGate foram usadas desde então em ataques realizados por agentes de ameaças que empregam táticas semelhantes à do Scattered Spider, disse o serviço de resposta a incidentes Stroz Friedberg da Aon no mês passado.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...